Аналитики Microsoft Threat Intelligence сообщили об обнаружении обновлённой версии вредоносного ПО XCSSET, ориентированной на macOS. Обновлённый вариант внедряется в проекты Xcode и активируется при их сборке. Основной целью атаки остаются разработчики, работающие с экосистемой Apple. Вредонос распространяется через заражённые файлы проектов, что делает его особенно опасным в условиях совместной разработки.
XCSSET — модульный шпионский инструмент, направленный на кражу данных. Среди его возможностей — перехват криптовалютных кошельков, извлечение содержимого буфера обмена, похищение заметок, паролей и информации браузера. Microsoft уточняет, что вредонос запускается автоматически, когда разработчик собирает проект в Xcode, не подозревая о наличии вредоносной нагрузки.
В новой версии специалисты зафиксировали несколько существенных доработок. Прежде всего, вредонос получил обновлённый механизм кражи данных из браузера Firefox. Для этого используется модифицированная версия инструмента HackBrowserData с открытым исходным кодом. С его помощью хакеры расшифровывают и извлекают данные из внутреннего хранилища браузера.
Ещё одна обновлённая функция касается перехвата буфера обмена. Вредонос анализирует содержимое на предмет совпадений с регулярными выражениями, указывающими на криптовалютные адреса. Если такой адрес обнаружен, он заменяется на адрес, подконтрольный злоумышленникам. Таким образом, отправка криптовалюты с заражённого устройства может автоматически перенаправиться в кошельки атакующих.
Также был обновлён механизм сохранения присутствия на системе. Вредонос создаёт LaunchDaemon, исполняющий полезную нагрузку из скрытого файла по пути ~/.root. Одновременно на временном разделе создаётся поддельное приложение System Settings.app, маскирующее активность вредоносной программы.
По данным Microsoft, атаки с участием этого варианта XCSSET пока зафиксированы в ограниченном числе случаев. Тем не менее, специалисты передали информацию Apple и взаимодействуют с GitHub для удаления связанных репозиториев, чтобы пресечь распространение вредоносного кода через платформу разработчиков.